Da passt was nicht. Saß der Stick wirklich noch beim Ausführen im Gerät?
Wurde ein zweiter Stick zwischenzeitlich eingesteckt?
Nur angezeigte Verknüpfungen auf dem USB-Stick
-
-
-
Der Stick, den vorher untersucht haben, scheint nicht mehr den Laufwerksbuchstaben D: zu haben.
Welchen Laufwerksbuchstaben hat er jetzt? Nichts auf dem Stick anklicken, der Rechner infiziert sich ansonsten neu! -
Hallo,
der USB Stick wurde zwischenzeitlich emtfernt.
Im moment hat er den Laufwerkbuchstaben "D".
-
Das tun:
- Stick im Gerät lassen!
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen!
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
- Den Ordner C:\PPFS_Sicherung bitte an dem Ort lassen, wo erjetzt ist. Den nicht verschieben oder löschen, da sind die Trojaner drin!
Dann das tun:
- Der Scanner benötigt für den Vorgang Internetkontakt. Er wird versuchen, mir den Trojaner über das Internet zuzuschicken. Meckert deine Firewall, lass den Internetkontakt zu!
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
CodeCREATE_FOLDER->C:\PPFS_T Download->https://www.paules-pc-forum.de/forum/attachment/1901-scp2-txt>C:\PPFS_T\2.txt LOAD_SCRIPT->C:\PPFS_T\2.txt
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird sich der Rechner neu starten.
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
-
-
-
Fer Stick, der hier im Gerät saß, ist noch infiziert:
Das ist aber nicht der Stick, der jetzt im Gerät sitzt.
Wo der geblieben ist, kann ich von hier aus nicht sagen.
Wir machen mit dem nächsten Stick weiter:
Das tun:- Den jetzt eingesteckten Stick entfernen und beiseite legen.
- Den nächsten infizierten USB-Sticks einstecken, der das Problem zeigt. Klicke nichts auf dem Stick an, der Rechner infiziert sich ansonsten neu!
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
Code
Alles anzeigenCREATE_FOLDER->C:\PPF_SCAN2 CREATE_FOLDER->C:\PPFS_T INPUTDIALOG->EXISTINGFOLDER ->Biite hier das Laufwerk des USB-Datenträgers auswählen: -> ->PPFS_Foldername SET_OPTIONS->-34,-22 SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10 SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18 SET_OPTIONS->-19,-20,-21,,-23,-24,25,-26 SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35 SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42 REM->Scan in Scanlist-Ansicht starten! SCANLIST-> CREATE_BATCH_FILE->C:\PPFS_T\SearchUSB.scp WRITE_BATCH->SET_SCANLIST->1 WRITE_BATCH->SET_OPTIONS->-205,217,-213 WRITE_BATCH->SET_HEADLINE->Files on USB#Dateien auf USB WRITE_BATCH->SEARCH_FILES->* WRITE_BATCH->->%PPFS_Foldername% WRITE_BATCH->SET_HEADLINE->Folders on USB#Ordner auf USB WRITE_BATCH->SEARCH_FOLDERS->* WRITE_BATCH->->%PPFS_Foldername% WRITE_BATCH->SET_HEADLINE->LNK Fileson USB#LNK-Dateien auf USB WRITE_BATCH->SEARCH_LNK_FILES->*.lnk WRITE_BATCH->->%PPFS_Foldername% WRITE_BATCH->SET_HEADLINE->URL Files on USB#URL-Dateien auf USB WRITE_BATCH->SEARCH_LNK_FILES->*.url WRITE_BATCH->->%PPFS_Foldername% LOAD_SCRIPT->C:\PPFS_T\SearchUSB.scp COPY_SCANFILES->C:\PPF_SCAN2 OPEN->C:\PPF_SCAN2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Es wird ein Dialog Ordner suchen erscheinen. Wähle hier deinen USB-Stick aus und klicke auf OK, um den Vorgang zu starten. Das Script such nach Dateien und Ordnern auf dem Stick.
- Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen!
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
- Den Stick auf keinen Fall vom Gerät entfernen, ich kann den nicht bereinigen, wenn der infizierte Stick nicht im Gerät eingesteckt bleibt!
-
Hi,
sorry für die verspätete Antwort. Im Moment befindet sich nur noch auf diesem USB-Stick das Problem mit den Verknüpfungen. D
Das Script habe ich ausgeführt, unter diesem Link befinden sich die Dateien aus dem letzten Scan:
https://workupload.com/archive/kEV9V6zDanke!!
-
Hallo Scab,
da AHT momentan nicht verfügbar ist und ich mich mit seinem Scanner nicht auskenne, lasse bitte FRST wie unter Punkt 2 beschrieben laufen, damit kann ich das Problem lösen.
===== Punkt 1 =====
Wenn Dein AV-Programm wieder bei FRST rumzickt, bitte schalte es für die Zeit des Scans ab!
===== Punkt 2 =====Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus
Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
Speichere das Tool auf Deinem Desktop (nicht woanders hin).
Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp- Starte die FRST.exe respektive die FRST64.exe per Doppelklick -
Vista- und Win7-Benutzer starten per Rechtsklick und wählen Als Administrator ausführen. - Mache Haken bei:
- BCD auflisten
- MD5 Treiber
- Addition.txt
- Dateiliste 90 Tage
- Akzeptiere die Bedingungen mit "Ja" und klicke Untersuchen
Das Tool erstellt drei Berichte namens FRST.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet. Lade die Berichte bitte hier im Forum als Anhang wie folgt hoch: => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => die Datei wird automatisch hochgeladen.
Hinweis:
FRST wird aktuell häufig aktualisiert - neue Versionen werden automatisch heruntergeladen.
Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben. - Starte die FRST.exe respektive die FRST64.exe per Doppelklick -
-
Hallo Petra,
das Programm hat zwei Dateien erstellt. Shortcut.txt war nicht dabei, vielleicht liegt das daran, dass ich das in FRST nicht anklicken sollte?
Da ich mein AV ausgestellt habe, habe ich auch das Internet aus gemacht. War das OK?Schöne Grüße
Scab -
Hallo Scab,
das ist so ok
Drive c: (Windows) (Fixed) (Total:116.98 GB) (Free:70.59 GB) NTFS
Drive d: (INTENSO) (Removable) (Total:29.27 GB) (Free:28.57 GB) FAT32Jetzt brauche ich eine aktuelle Liste der auf dem Stick vorhandenen Dateien. Mache bitte folgendes (ich nehme hier mal an, dass der USB-Stick im Computer steckt und den Laufwerkbuchstaben D:\ hat:
===== Punkt 1 =====
Fix mit Farbar Recovery Scan Tool
Lade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.
CodeStart CreateRestorePoint: CloseProcesses: CMD: dir /s D:\ CMD: dir /s /a D:\*.lnk EmptyTemp: End
- Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Entfernen-Button.
- Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".
Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.
Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.
-
Hi,
hab das Programm wie oben beschrieben durchlaufen lassen, es ist eine Fixlog.txt Datei dabei entstanden.
Hier ist der Link für die Datei: https://workupload.com/file/kXQRLfC
Wofür hast du den Quellcode eignegeben? den habe ich jetzt nirgends verwedet.LG Scab
-
Hallo Scab,
===== Punkt 1 =====
Fix mit Farbar Recovery Scan ToolLade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.
- Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Entfernen-Button.
- Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".
Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.
Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.
D:\Lebenslauf Ayse YarangÂnÂ.pdf.lnk
Die obige Datei ggfs. im Editor korrigieren, indem Du keinen Rechtsklick auf bereits heruntergeladene Fixlist.txt machst und Öffnen mit Editor wählst. Ich befürchte sonst, das wegen des Unicodes FRST die Datei nicht finden wird.
Und bitte das Fixlog hier über Dateianhänge hochladen. Anders als bei Andreas sind die FRST-Dateien vergleichsweise klein.
===== Punkt 2 =====
Berichte mir bitte, ob Du wieder Zugriff auf Deine Dateien vom USB-Stick hast.
-
Hallo Petra,
Punkt 1: Datei ist angehängt. Nach dem Fix sollte ein Neustart gemacht werden, den habe ich zugelassen.
Punkt 2: auf dem USB-Stick werden nun 5 Dateien angezeigt.
- Ordner: Ergebnisse Ayse
- Verknüpfung: main.pdf
- Verknüpfung: Modern_Physical_Organic_Chemistry-Eric Anslyn.pdf
- Verknüpfung: OC.zip- Verknüpfung: OC-E.pdf
-
Hallo Scab,
die Frage ist nun, ob Du auf die Dateien zugreifen kannst und ob Du noch Dateien vermisst.
-
Hallo Petra,
mir fehlt keine Datei auf dem USB Stick. Ich habe auf keine Datei geklickt, da noch das Verknüpfungssymbol angezeigt wird.
Ich muss leider den USb Stick entfernen, da ich nur einen Anschluss habe und diesen gerade brauche.LG
Scab -
Hallo Scab,
ok, dann probiere es später mal aus und berichte
-
Hallo Scab,
na, wie sieht es aus? Hast Du Zugriff auf alle Dateien auf dem fraglichen USB-Stick?
Ich bitte um kurze Rückmeldung
-
Hallo Petra,
ja ich habe Zugriff auf die Dateien auf dem USB Stick. -
Hallo Scab,
prima, dann kommen wir zu den noch nötigen Abschlussarbeiten
===== Punkt 1 =====
DelFix von Xplode
- Lade DelFix herunter und speichere es auf dem Desktop.
Das Programm stammt vom Autor Xplode und ist für alle Windows-Versionen geeignet.
DelFix entfernt die meisten zur Bereinigung verwendeten Programme, die Quarantäne der Scanner, den Java-Cache und löscht sich abschließend selbst. - Starte DelFix mit Rechtsklick auf das Icon und wähle "Als Administrator ausführen" (bei XP mit Doppelklick starten).
- Mache Haken bei folgenden Elementen:
Aktivierung der Benutzerkontensteuerung
Entfernung der Bereinigungsprogramme
Löschung der Wiederherstellungspunkte
Wiederherstellung der Systemeinstellung
[Blockierte Grafik: https://www.bildbox-online.de/petra/delfix.jpg]
- Klicke auf Start.
- DelFix wird die angehakten Aufgaben erledigen.
Bei "Entfernung der Bereinigungsprogramme" wird Delfix diverse Bereinigungsprogramme und sich selbst löschen. - Nach dem Lauf von DelFix erscheint ein Log. Poste dieses hier in den Thread.
===== Punkt 2 =====
Datenträgerbereinigung
Öffne den Windows-Explorer mit der Tastenkombination Windowstaste + E.
Mache einen Rechtsklick auf die Partition, die Du bereinigen möchtest und wähle Eigenschaften, fange mit C:\ an.
Es erscheint das Fenster mit den Eigenschaften dieser Partition.
Gehe zum Reiter "Allgemein" und klicke auf den Button "Bereinigen".
Es erscheint das Fenster "Bereinigung des Datenträgers" bzw. "Datenträgerbereinigung".
Beim ersten Scanvorgang auf überflüssige Objekte wird noch nicht im WinSxS-Ordner von Windows gesucht.
Klicke anschließend auf die Schaltfläche "Systemdateien bereinigen", um den gründlicheren Suchvorgang zu starten.
(Die Funktion "Systemdateien bereinigen" gibt es bei WindowsXP und Vista nicht).
Die Liste mit Ergebnissen enthält dann u. a. den Punkt "Vorherige Windows-Installation(en)".
Wenn Du nicht mehr auf eine vorherige Windows-Version zurückkehren möchtest, setze den Haken und klicken Sie auf "OK".Bestätige die Abfrage, dass die Dateien unwiderruflich gelöscht werden durch Klick auf "Dateien löschen".
Es werden vorhandene temporäre Datei und Update-Überreste gefahrlos entfernt.
Gib mir bitte durch, wieviel MB bereinigt wurden.===== Punkt 3 =====
Eset Online Scan
Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit dem ESET Online Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Je nachdem, wie viele Daten auf den zu scannenden Medien liegen, kann dieser Scan unter Umständen einige Stunden in Anspruch nehmen.
Browser starten.
Nach hier gehen => http://www.eset.com/de/home/products/online-scanner/
Wer NoScript im Einsatz hat, bitte eset.com erlauben.Auf den Button Jetzt prüfen drücken.
Die ESETOnlineScanner_DEU.exe herunterladen, speichern und die Installation durch Doppelklick auf diese Datei starten.
Die Lizenzbedingungen akzeptieren.Haken machen bei => Erkennung evtl. unerwünschter Anwendungen aktivieren
Auf Erweiterte Einstellungen klicken und diese Einstellungen machen:
[Blockierte Grafik: https://www.bildbox-online.de/petra/eset5.jpg]
Auf Aktuelle Prüfziele ändern klicken und alle Laufwerke anhaken.
Auf den Button Scannen klicken.
Nun werden zunächst die aktuellen Signaturen heruntergeladen.
Die Prüfung beginnt anschließend automatisch.Warten, bis der Scan durchgelaufen ist. Wenn Funde gemacht wurden, auf Liste der gefundenen Bedrohungen klicken und dann "Als Textdatei exportieren" und auf dem Desktop als eset.txt speichern.
Eine bebilderte Anleitung ist hier zu finden: https://wiki.botfrei.de/ESET_Online_Scanner
- Lade DelFix herunter und speichere es auf dem Desktop.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!